RHEL6服務(wù)器操作系統(tǒng)參數(shù)及安全配置

1、 上海有限責(zé)任公司計費信息中心 主機(jī)設(shè)備安裝檢查確認(rèn)表系統(tǒng)參數(shù)及安全配置檢查確認(rèn)表手冊說明V1.3.5手冊名稱RHEL6服務(wù)器操作系統(tǒng)參數(shù)及安全配置檢查確認(rèn)表修訂歷史（REVISION HISTORY）RevSectionTypeDateAuthorRemarks1.0All2012/5/18溫士帥創(chuàng)建第一個版本。1.1語言環(huán)境，建議的服務(wù)包（部分增加），禁用IPv6，安裝FTP，配置時鐘同步2012/5/21林東暉補(bǔ)充修改1.1.1修改禁用IPv6配置，增強(qiáng)配置兼容性。2012/5/21林東暉修改禁用IPv61.1.2修正密碼策略部分，加入配置文件對象文件2012/5/24林東暉修正密碼策略

2、部分1.2調(diào)整段落次序2012/7/4溫士帥修改網(wǎng)卡綁定部分內(nèi)容 1.2.1新增時區(qū)和時間修改方法2012/7/4溫士帥修改和完善始終同步設(shè)置1.2.2修改IPv6禁用的配置方法2012/7/30溫士帥修改禁用IPv6和網(wǎng)卡綁定沖突的問題1.2.31.參考集團(tuán)基線安全加固2.提升穩(wěn)定性配置2012/08/05溫士帥1.2.4修正錯誤和不合理2012/08/23溫士帥1.2.5添加nmon安裝方法網(wǎng)卡綁定修正增加bonding.conf的配置時鐘同步，修正了同步到硬件時鐘2012/09/03溫士帥1.2.6確認(rèn)語言環(huán)境內(nèi)核參數(shù)調(diào)整有效期管理使用telnet和ssh調(diào)整日志保存，指定日志保存文件2

3、012/09/19石成珂修改語言變量設(shè)置添加limits.conf參數(shù)配置追加login.defs文件參數(shù)配置追加sshd_config文件參數(shù)配置添加rsyslog日志參數(shù)配置1.2.7修正錯誤2012/09/24溫士帥SELINUX配置的錯誤hosts.equiv寫錯1.3建立自動化配置腳本2012/09/26溫士帥1.3.1自動化腳本更新到1.3.3版本2012/10/23溫士帥修正自動化配置腳本bug1.3.2修改“參數(shù)優(yōu)化”部分2012/10/26溫士帥新增用戶資源限制部分優(yōu)化1.3.3修改自動化配置腳本2012/10/27溫士帥增加參數(shù)優(yōu)化，ulimit配置自動執(zhí)行1.3.4修正s

4、ysctl.conf配置的錯誤修改rhelstdmk腳本默認(rèn)配置的錯誤2014/4/16溫士帥參數(shù)配置=左右必須有空格才是有效的配置Ntpdate需要加入絕對路徑1.3.5更新網(wǎng)卡bond方式配置2014/5/8溫士帥新增網(wǎng)卡綁定的arp探測方式的配置，可以對網(wǎng)卡鏈路up但是網(wǎng)關(guān)不通的情況進(jìn)行切換1.3.6修正自動配置腳本bug2014/5/30溫士帥自動配置腳本TMOUT設(shè)置錯誤，已修正填表人：填表時間： 審核人： 審核時間： 主機(jī)基本信息主機(jī)名 IP地址 CPU(型號，主頻，數(shù)量) TPMC 內(nèi)存 存儲適配卡 網(wǎng)卡1000M 光纖卡×4 1000M UTP卡（雙絞線）×

5、4內(nèi)置磁盤 序列號 是否配置Cluster 操作系統(tǒng)版本 用戶列表組名帳號名稱類型狀態(tài)用途表一. 性能專題問題檢查項目建議配置值及配置方法實際配置值或者確認(rèn)結(jié)果備注基礎(chǔ)環(huán)境關(guān)閉圖形界面建議設(shè)置，一般作為服務(wù)器端，不需要圖形化桌面的界面，關(guān)閉圖形桌面相關(guān)設(shè)置可以提升系統(tǒng)穩(wěn)定性。（應(yīng)用有特殊圖形桌面要求的除外）編輯/etc/inittab將如下行 id:5:initdefault:改為 id:3:initdefault:停止相關(guān)桌面工具服務(wù)chkconfig NetworkManager offchkconfig haldaemon off重啟后驗證系統(tǒng)只有字符界面登錄確認(rèn)語言環(huán)境檢查系統(tǒng)當(dāng)前默認(rèn)

6、語言環(huán)境，執(zhí)行如下命令：# locale LANG=en_US.UTF-8如果是非English環(huán)境，請修改至English環(huán)境編輯/etc/sysconfig/i18n增加或編輯“LANG”開頭的行為如下內(nèi)容：LANG="en_US.UTF-8"如果需要配置中文環(huán)境，則： LANG=" zh_CN.GBK"也可通過命令system-config-language配置默認(rèn)基礎(chǔ)配置本地YUM源配置創(chuàng)建放置安裝文件的本地目錄 /rhel6 ；將安裝光盤中的所有文件復(fù)制到/rhel6文件夾；進(jìn)入光盤所在目錄，使用cp命令將所有文件復(fù)制到/rhel6文件夾；#

7、mkdir /rhel6#mount /dev/cdrom /mnt#cp r /mnt/* /rhel6進(jìn)入/etc/yum.repos.d目錄，將現(xiàn)有文件復(fù)制為rhel6-local.repo；使用vi命令對rhel6-local.repo文件做如下修改，并保存退出；rhel6Name=RHEL 6baseurl=file:/rhel6/enabled=1gpgcheck=1gpgkey=file:/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release依次執(zhí)行yum clean all命令和yum list 命令；(我在23上放了個IS

8、O鏡像，網(wǎng)絡(luò)能訪問到的可以設(shè)置成以下的yum配置)rhel6Name=RHEL 6baseurl=ftp:/rhel61:vfr43edc23/rhel61.iso/enabled=1gpgcheck=1gpgkey=file:/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release/etc/yum.repos.d/rhel6.repoOK服務(wù)包建議的服務(wù)包增加常見依賴軟件包#yum install binutils* compat-libstdc* elfutils-libelf elfutils-libelf-devel gcc* gcc

9、-c+* glibc glibc-common glibc-devel* glibc-headers ksh libaio* libaio-devel* libgcc* libstdc* libstdc+-devel* make sysstat unixODBC libXp#yum install system-config* screen iotop expect pexpect OpenIPMI* ipmitool iptraf rpm* kernel-devel kernel-doc tuned 碰到裝不上去吧install替換為updateyum update binutils* co

10、mpat-libstdc* elfutils-libelf elfutils-libelf-devel gcc* gcc-c+* glibc glibc-common glibc-devel* glibc-headers ksh libaio* libaio-devel* libgcc* libstdc* libstdc+-devel* make sysstat unixODBC libXpIOS手工傳上去，在1臺機(jī)器弄完后可以用nfs方式共享本地YUM源配置，這個要先做OK基本服務(wù)配置關(guān)閉SElinux關(guān)閉SElinux，編輯SElinux配置文件/etc/selinux/config；將S

11、ELINUX=enforcing改為SELINUX=disabled，修改完畢后保存退出；系統(tǒng)重啟后，才能關(guān)閉SElinux；OK配置關(guān)閉Firewall關(guān)閉Firewall，以root身份登入執(zhí)行命令；# service iptables stop關(guān)閉iptables服務(wù)# chkconfig iptables off開機(jī)不啟動iptables服務(wù)OK關(guān)閉不需要的服務(wù)檢查命令：chkconfig -list |grep -i -E 'shell|login|exec|talk|ntalk|imap|pop-2|pop-3|finger|auth|Anancron|Cups|Gpm|I

12、sdn|Kudzu|Pcmcia|Rhnsd|sendmail| snmpd '如果哪個服務(wù)xxx開啟了，可以用以下命令關(guān)閉（無需重啟）service 服務(wù)名xxx stopchkconfig 服務(wù)名xxx off注意關(guān)閉前確認(rèn)該服務(wù)與應(yīng)用無關(guān)關(guān)閉不必要的遠(yuǎn)程操作服務(wù)主要是rlogin、rsh、rexec，接入域的主機(jī)務(wù)必關(guān)閉（HA和rac系統(tǒng)除外）檢查命令：chkconfig -list |grep -i -E 'rlogin|rsh|rexec'如果哪個服務(wù)xxx開啟了，可以用以下命令關(guān)閉（無需重啟）service 服務(wù)名xxx stopchkconfig 服務(wù)名x

13、xx off注意關(guān)閉前確認(rèn)該服務(wù)與應(yīng)用無關(guān)配置關(guān)閉IPv6方法一（有網(wǎng)卡綁定的不能采用）：1、創(chuàng)建或編輯/etc/modprobe.d/ipv6.conf加入下面的行options ipv6 disable=1install ipv6 /bin/trueblacklist ipv62、禁用ip6tables服務(wù)chkconfig ip6tables off3、重啟系統(tǒng)禁用IPv6reboot方法二（適合有網(wǎng)卡綁定的）：1、創(chuàng)建或編輯/etc/modprobe.d/ipv6.conf加入下面的行options ipv6 disable=1blacklist ipv62、禁用ip6tables服務(wù)

14、chkconfig ip6tables off3、重啟系統(tǒng)禁用IPv6rebootOK安裝FTP服務(wù)無特別需求不建議安裝ftp服務(wù)1、 安裝vsftpd軟件包yum install vsftpdyum install ftp2、 禁用ftp的anonymous登錄修改/etc/vsftpd/vsftpd.conf文件中下面的配置anonymous_enable=NO3、 手工啟動vsftpd服務(wù)service vsftpd start注意：vsftpd默認(rèn)禁止root用戶訪問，需要創(chuàng)建普通用戶使用。4、 設(shè)置隨系統(tǒng)自動啟動服務(wù)chkconfig -level 345 vsftpd onOK網(wǎng)絡(luò)

15、設(shè)置網(wǎng)卡IP及綁定設(shè)置配置修改網(wǎng)絡(luò)配置文件，進(jìn)入配置文件目錄/etc/sysconfig/network-scripts/添加bond0設(shè)備配置文件ifcfg-bond0。綁定網(wǎng)卡bond0配置文件內(nèi)容：DEVICE=bond0ONBOOT=yesBOOTPROTO=staticIPADDR=NETMASK=GATEWAY=54USERCTL=no#BONDING_OPTS="mode=1 miimon=100 primary=eth0" #該方式依據(jù)鏈路狀態(tài)進(jìn)行切換，不能對交換機(jī)層面故障BONDING_

16、OPTS="mode=1 arp_interval=1000 arp_ip_target=54（網(wǎng)關(guān)地址）" #推薦采用該模式，用arp兩層探測方式來檢測鏈路狀態(tài)，一般配置對網(wǎng)關(guān)進(jìn)行arp探測。#說明：miimon是用來進(jìn)行鏈路監(jiān)測的。 比如:miimon=100，那么系統(tǒng)每100ms監(jiān)測一次鏈路連接狀態(tài)，如果有一條線路不通就轉(zhuǎn)入另一條線路；mode的值表示工作模式，他共有0，1,2,3四種模式，常用的為0,1兩種。mode=0表示load balancing (round-robin)為負(fù)載均衡方式，兩塊網(wǎng)卡都工作。mode=1表示fault-tol

17、erance (active-backup)提供冗余功能，工作方式是主備的工作方式,也就是說默認(rèn)情況下只有一塊網(wǎng)卡工作,另一塊做備份。bonding只能提供鏈路監(jiān)測，即從主機(jī)到交換機(jī)的鏈路是否接通。如果只是交換機(jī)對外的鏈路down掉了，而交換機(jī)本身并沒有故障，那么bonding會認(rèn)為鏈路沒有問題而繼續(xù)使用修改第一塊物理網(wǎng)卡ifcfg-eth0配置文件內(nèi)容：DEVICE=eth0MASTER=bond0SLAVE=yesONBOOT=yesBOOTPROTO=noneUSERCTL=no修改第二塊物理網(wǎng)卡ifcfg-eth1配置文件內(nèi)容：DEVICE=eth1MASTER=bond0SLAVE=

18、yesONBOOT=yesBOOTPROTO=noneUSERCTL=nobonding模塊設(shè)置/etc/modprobe.d/bonding.conf文件中添加如下內(nèi)容：alias bond0 bonding重啟啟動network服務(wù)，使配置生效# service network restart查看網(wǎng)卡綁定工作情況：cat /proc/net/bonding/bond0OKifcfg-bond0參數(shù)優(yōu)化內(nèi)核參數(shù)調(diào)整注意，以下只是推薦參數(shù)，具體如何配置請和該主機(jī)應(yīng)用人員商議確認(rèn)！ 使用vi編輯/etc/sysctl.conf，添加以下內(nèi)容：#內(nèi)存部分vm.swappiness = 10 #降低

19、內(nèi)存交換到磁盤的傾向vm.min_free_kbytes=409600#最小保留空閑內(nèi)存400Mvm.vfs_cache_pressure=200#增加加虛擬內(nèi)存回收directory和i-node緩沖的傾向vm.dirty_ratio=5#系統(tǒng)Cache配置為內(nèi)存的5%#網(wǎng)絡(luò)部分（注意等號左右必須有空格才有效）net.core.rmem_default = 262144net.core.rmem_max = 4194304# Receive socket buffer sizenet.core.wmem_default = 262144net.core.wmem_max = 4194304#

20、 Send socket buffer sizenet.ipv4.tcp_rmem = 4096 262144 4194304net.ipv4.tcp_wmem = 4096 262144 4194304# TCP socket buffer sizenet.ipv4.ip_local_port_range = 40000 65000# Network port range 65000使配置生效# sysctl pOK用戶資源限制1. 刪除/etc/security/limits.d目錄下所有文件2. 修改兩個文件/etc/pam.d/sshd和/etc/pam.d/login，增加sessi

21、on required /lib64/security/pam_limits.sosession required pam_limits.so3. 重啟sshd服務(wù)，service sshd restart4. 修改/etc/security/limits.conf文件，增加以下內(nèi)容并保存：*soft nofile 32768*hard nofile 65536* soft nproc unlimited* hard nproc unlimited時區(qū)和時間設(shè)置時區(qū)設(shè)置系統(tǒng)時區(qū)的確認(rèn)1. 首先以系統(tǒng)變量TZ值為準(zhǔn)2. 如果TZ變量未配置，以/etc/localtime為準(zhǔn)查看當(dāng)前時區(qū)：date

22、 -R如果最后顯示+0800代表+8時區(qū)，至少和北京時區(qū)一致，可以不做操作，如果不一致可以采取下面兩種方式：1. /etc/profile文件末尾添加一行export TZ=Asia/Shanghai 2. 修改/etc/localtime文件（注意非文本文件不得直接vi）ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 修改機(jī)器時間date -s 12/20/2003date -s 12:30:00clock -w 寫入BIOShwclock -r顯示bios時間時鐘同步時鐘同步設(shè)置方法一：（適用于對時間不敏感系統(tǒng)）在cronta

23、b中配置定時的ntp始終同步crontab -e配置“0 0 * * * ntpdate 9; clock -w”方法二：（適用于時間敏感系統(tǒng)，如rac庫，cluster系統(tǒng)等）NTP服務(wù)器9編輯/etc/ntp.conf將文件中的如下行server 0.server 1.server 2.合并更改為下面的唯一行server 9 /IP of NTP server修改以下文件，添加SYNC_HWCLOCK設(shè)置，將ntp同步至硬件

24、時鐘# vi /etc/sysconfig/ntpdSYNC_HWCLOCK=yes開啟NTP服務(wù)ntpdate 9service ntpd start開啟ntpd服務(wù)到自動啟動chkconfig ntpd on檢查同步情況ntpq -pntpstat（剛配置完同步需要一段時間）系統(tǒng)安全增強(qiáng)配置密碼策略增強(qiáng)備份配置文件#cp /etc/pam.d/password-auth-ac /root/password-auth-ac.defaut# cp /etc/pam.d/system-auth-ac /root/system-auth-ac.defaut使用vi 編輯 /e

25、tc/pam.d/password-auth-ac 配置文件，修改內(nèi)容為如下：#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth required pam_faillock.so preauth silent audit deny=10 unlock_time=600auth sufficient pam_unix.so nullok try_first_passauth defau

26、lt=die pam_faillock.so authfail audit deny=10auth sufficient pam_faillock.so authsucc audit deny=10auth requisite pam_succeed_if.so uid >= 500 quietauth required pam_deny.soaccount required pam_faillock.soaccount required pam_unix.soaccount sufficient pam_localuser.soaccount sufficient pam_succee

27、d_if.so uid < 500 quietaccount required pam_permit.sopassword requisite pam_cracklib.so try_first_pass retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=3password requisite pam_passwdqc.so use_first_pass enforce=everyonepassword sufficient pam_unix.so md5 remember=6 shadow nullok

28、 try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revokesession required pam_limits.sosession success=1 default=ignore pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.so使用vi 編輯 /etc/pam.d/system-auth-ac 配置文件，修改內(nèi)容為如下：#%PAM-1.0# This file

29、 is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth sufficient pam_fprintd.soauth required pam_faillock.so preauth silent audit deny=10 unlock_time=600auth sufficient pam_unix.so nullok try_first_passauth default=die pam_faillock.so authfa

30、il audit deny=10auth sufficient pam_faillock.so authsucc audit deny=10auth requisite pam_succeed_if.so uid >= 500 quietauth required pam_deny.soaccount required pam_faillock.soaccount required pam_unix.soaccount sufficient pam_localuser.soaccount sufficient pam_succeed_if.so uid < 500 quietacc

31、ount required pam_permit.sopassword requisite pam_cracklib.so try_first_pass retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=3password requisite pam_passwdqc.so use_first_pass enforce=everyonepassword sufficient pam_unix.so md5 remember=6 shadow nullok try_first_pass use_authtokpa

32、ssword required pam_deny.sosession optional pam_keyinit.so revokesession required pam_limits.sosession success=1 default=ignore pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.so以上配置實時生效，請避免網(wǎng)絡(luò)遠(yuǎn)程操作。請打開至少兩個終端窗口操作測試，如測試失敗，請使用備份文件覆蓋OK有效期管理用戶密碼有效期定義：編輯配置文件/etc/login.defs，修改內(nèi)容如下：

33、PASS_MAX_DAYS 90PASS_MIN_DAYS 0PASS_MIN_LEN 8PASS_WARN_AGE 7LASTLOG_ENAB yes已存在用戶的密碼有效期使用chage命令修改chage d 2012-01-01 <username>#將用戶的最后一次密碼修改時間設(shè)定為2012/01/01chage -E 2012-12-31 <username>#將用戶帳號過期日設(shè)置為2012/12/31chage I 5 <username>#用戶密碼過期后的寬限期為5天chage m 0 <username>#密碼最小生存期0天，當(dāng)天可

34、以改密碼chage M 90 <username>#密碼最大生存期90天chage W 7 <username>#提前7天提醒修改密碼*以上命令中的時間長度參數(shù)值為“-1”表示無限制。OK設(shè)定umask和timeout編輯/etc/profile文件#設(shè)置系統(tǒng)默認(rèn)umask將umask 002 、umask 022 都修改為umask 027#設(shè)定timeout在文件末尾添加：TMOUT=120OK限制root用戶使用telnet和ssh1）限制root用戶telnet登陸（無特別需求不推薦開啟telnet服務(wù)）系統(tǒng)默認(rèn)不安裝telnet server；安裝后必須手工配置才能啟用，默認(rèn)root不允許通過telnet登錄。安裝telnet server：# yum install telnet-server啟用telnet server：編輯/etc/xinetd.d/telnet配置disable=no；重啟xinetd服務(wù)# service xinetd restart2）限制root用戶ssh登陸（基線要求，建議設(shè)置）編輯/etc/ssh/sshd_config，修改PermitRootLogin no；重啟sshd才生效# service sshd restart3）確認(rèn)SSH使用的協(xié)議，gr